ANTICHAT — форум по информационной безопасности, OSINT и технологиям

троев и склейки там нет 100%

раскажу как можно проверять склейку
http://wasm.ru/baixado.php?mode=tool&id=89 здесь берем ольгу
к ней нужен плагин +BP OLLY можно найти в инете (если нет я позже залью)

поставил все можно приступать
итак открываем неизвесный нам фаил
сразу ставим бряки BP CreateFileA(ловим если что то создаеться или открываеться
это определяем по пораметрам апи open или Create)
и bp ShellExecuteA(ловим если начинает чтото запускать )

ну и если на предыдущих бряках мы остановились
тогда ставим дополнительный bp CloseHandle (ждем закрытия хендела
для получения доступа к фаилу) дабы его удалить или убрать из той
дериктории для дальнейшего анализа(если трой)
ну и запускаем если прервались то смотри сам салл функции (последний)шагаем до него
ф8 и ставиб бряк на CloseHandle запускаем прервались идем до самого калла (последний )проходишь его
ну и смотри ту дерикторию где появился фаил
надеюсь хоть чтото понятно если нет то я могу написать болие понятно.